HackerNews 编译，转载请注明出处： 沃尔沃北美公司（Volvo North America）披露了一起数据泄露事件。该事件源于第三方供应商 Miljödata 遭遇勒索软件攻击，导致沃尔沃员工的个人数据被泄露。 此次勒索软件攻击发生于 8 月，至少影响了 25 家企业，其中包括斯堪的纳维亚航空公司（SAS）、博利登公司（Boliden），以及 200 个瑞典市政当局。受影响的系统主要供管理人员和人力资源部门使用，用于处理医疗证明、康复事宜，以及与工作相关的伤害报告和管理工作。 目前，Miljödata 已在网络安全专家的协助下对该事件展开调查，同时加强了其托管环境的安全性，并正采取措施防范未来发生类似的安全漏洞事件。 名为 “DataCarry” 的勒索软件团伙宣称对此次针对 Miljödata 的攻击负责，且已在其 Tor 泄密网站上发布了据称是被盗取的数据。 沃尔沃集团北美公司已向马萨诸塞州总检察长办公室通报，此次数据泄露导致员工的姓名和社会保险号码（Social Security numbers）被泄露。该公司同时指出，其自身系统未受到入侵。 在发送给受影响人员的数据泄露通知函中写道：“我们近期获悉，沃尔沃集团的人力资源软件供应商 Miljödata 遭遇了一起安全事件，您的部分个人信息可能在此次事件中被获取。该事件发生于 2025 年 8 月 20 日。Miljödata 于 2025 年 8 月 23 日首次知晓此次勒索软件攻击，并在 2025 年 9 月 2 日确认您的数据可能受到影响；随后，Miljödata 于 2025 年 9 月 2 日将此事告知沃尔沃集团。” 据数据泄露查询服务平台 “我是否被入侵”（Have I Been Pwned，简称 HIBP）报告，此次泄露的数据涉及 87 万个账户。被泄露的信息包括电子邮箱地址、姓名、实际住址、电话号码、政府签发的身份证件号码、出生日期以及性别。 HIBP 报告称：“2025 年 8 月，瑞典系统供应商 Miljödata 成为勒索软件攻击的受害者。攻击发生后，相关数据被发布至暗网，其中包含来自多个受影响文件的 87 万个唯一电子邮箱地址。此外，泄露数据还包括姓名、电话号码、实际住址、出生日期以及政府签发的个人身份号码。” 为保障受影响人员权益，沃尔沃集团为其提供了为期 18 个月的免费身份保护及信用监控服务。 通知函最后表示：“为支持并保护受影响的同事，沃尔沃集团已安排为您提供为期 18 个月的好事达（Allstate）‘Identity Protection Pro+’服务免费订阅，该服务包含信用监控功能，助力保护您的个人信息。我们建议您提高警惕，定期监控自己的账户对账单和信用报告。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，美国网络安全研究机构GrammaTech被一家知名勒索软件集团攻破。该公司长期与美国政府机构保持合作，如：国防高级研究计划局、战争部以及其他重要机构。 这家网络安全研究公司的名字出现在 Play 勒索软件集团的暗网博客上，该组织惯常在此展示其最新的受害者。尽管攻击者声称已获取私人和机密数据，但并未提供任何证据或数据样本来支持其说法。 截至发稿时，该公司的官方网站仍可正常访问。 GrammaTech 之所以可能引起攻击者兴趣，是因为其业务包括软件分析、漏洞检测等服务。该公司在官网列出的合作伙伴包括 DARPA、美国国土安全部、NASA、空军研究实验室以及其他机构。 与此同时，Play 勒索软件声称还访问了 GrammaTech 的业务服务信息。根据 Cybernews 研究团队的说法，如果黑客的说法属实，攻击后果可能有限，因为“运营数据和漏洞研究成果未必受到影响”。 研究团队补充说：“如果该公司受聘参与涉及机密系统的工作，而这些系统在公众层面并不存在，那么可能会泄露一些机密细节，但除此之外影响相对有限。” Play 勒索软件集团是谁？ Play 勒索软件是网络犯罪地下世界的重要玩家，去年跻身最活跃的三大勒索软件团伙之列。 今年 8 月初，该组织声称攻击了 Jamco Aerospace Inc.，一家为美国海军、波音和诺斯罗普·格鲁曼提供商用与军用飞机零部件的供应商。 在 2023 年，Play 曾对爱荷华州 Palo Alto 县警长办公室和罗德岛州 Donald W. Wyatt 高安全级别拘留中心发动过攻击。 根据 Ransomlooker 数据（由 Cybernews 暗网监测工具提供），过去 12 个月内，Play 至少以 376 家公司为目标，使其成为同期攻击最频繁的组织之一。 根据 Adlumin 的资料，Play 被认为是最早使用 间歇性加密 的勒索软件组织之一。 这种方法仅加密系统中的部分固定段落，使攻击者能够更快地访问并窃取受害者的数据。而且，似乎已有其他臭名昭著的组织效仿这一战术，包括 ALPHV/BlackCat、DarkBit 和 BianLian。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款代号为“CountLoader”的新型恶意软件加载器，该加载器已被俄罗斯勒索软件团伙用于投放后续渗透工具（如 Cobalt Strike、AdaptixC2）以及一款名为“PureHVNC RAT”的远程访问木马。 网络安全公司Silent Push在分析报告中表示：“CountLoader要么被用作初始访问代理（IAB）工具集的一部分，要么由与 LockBit、Black Basta、Qilin 等勒索软件团伙存在关联的勒索软件附属攻击者使用。” 这款新兴威胁存在三个不同版本（基于.NET、PowerShell 和 JavaScript 开发），研究人员发现其在一场攻击活动中，通过伪造乌克兰国家警察局身份，以含恶意程序的 PDF 文件作为钓鱼诱饵，针对乌克兰个人用户发起攻击。 值得注意的是，卡巴斯基此前曾指出，该恶意软件的 PowerShell 版本曾通过与 DeepSeek 相关的诱饵文件传播，诱骗用户安装。这家俄罗斯网络安全厂商表示，相关攻击最终会在目标设备上部署一款名为“BrowserVenom”的植入程序，该程序可重新配置所有浏览器进程，强制网络流量通过攻击者控制的代理服务器，从而实现对网络流量的操控与数据收集。 Silent Push 的调查显示，JavaScript 版本是功能最完善的加载器版本，具备六种不同的文件下载方式、三种不同的恶意软件可执行文件运行方法，以及一项基于 Windows 域信息识别受害者设备的预设功能。 该恶意软件还能收集系统信息，通过创建伪装成谷歌 Chrome 浏览器更新任务的计划任务，在主机上建立持久化控制，并连接远程服务器等待后续指令。 具体功能包括：通过“rundll32.exe”和“msiexec.exe”工具下载并运行 DLL 文件与 MSI 安装程序载荷；传输系统元数据；删除已创建的计划任务。其六种文件下载方式分别借助curl、PowerShell、MSXML2.XMLHTTP、WinHTTP.WinHttpRequest.5.1、bitsadmin 及 certutil.exe 等工具或组件实现。 Silent Push 指出：“CountLoader的开发者通过使用‘certutil’‘bitsadmin’等白利用程序（LOLBins），并实现实时命令加密的 PowerShell 生成器，展现出对 Windows 操作系统及恶意软件开发的深入理解。” CountLoader 的一个显著特点是将受害者的“音乐（Music）文件夹”用作恶意软件的暂存区。其中，.NET 版本与 JavaScript 版本存在一定功能重叠，但仅支持两种命令类型（UpdateType.Zip 或 UpdateType.Exe），属于功能精简的版本。 CountLoader 依托由 20 多个独立域名构成的基础设施运行，其核心作用是作为传输通道，向目标设备投放 Cobalt Strike、AdaptixC2 与 PureHVNC RAT，后者是威胁攻击者 “PureCoder”开发的商业性质恶意程序，且为“PureRAT”（又称“ResolverRAT”）的早期版本。 据网络安全公司Check Point 透露，近期传播 PureHVNC RAT 的攻击活动，均采用经实战验证的“ClickFix”社会工程学战术作为传播载体：攻击者通过虚假招聘信息引诱受害者访问 ClickFix 钓鱼页面，再通过一款基于 Rust 语言开发的加载器部署该木马。 该公司表示：“攻击者借助虚假招聘广告引诱受害者，通过ClickFix 钓鱼技术在受害者设备上执行恶意 PowerShell 代码。”同时指出，PureCoder 会不断更换 GitHub 账号，用于托管支持 PureRAT 功能的相关文件。对这些 GitHub 账号提交记录的分析显示，相关操作均在 UTC+03:00 时区进行，该时区涵盖俄罗斯等多个国家和地区。 与此同时，网络安全公司 DomainTools 的调查团队揭示了俄罗斯勒索软件生态的关联性：不同勒索软件团伙的攻击者存在人员流动，且普遍使用 AnyDesk、Quick Assist 等工具，表明各团伙在运营层面存在重叠。 DomainTools 表示：“这些攻击者对‘团伙品牌’的忠诚度较低，核心资产并非特定的恶意软件毒株，而是人力资源。攻击者会根据市场环境调整策略，在遭遇打击后进行重组，且信任关系至关重要 —— 这些人会选择与认识的人合作，无论所属团伙名称如何。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约的风险投资和私募股权公司Insight Partners正在通知数千名个人，其个人信息在勒索软件攻击中被盗。 该公司于2月披露了这一网络安全事件，当时表示，一名威胁行为者在一次“复杂的社交工程攻击”后获得了其网络的访问权限。 两个月后，Insight Partners证实，攻击者在入侵期间还窃取了敏感数据，包括银行和税务信息、现任和前任员工的个人信息、与有限合伙人相关的信息，以及基金、管理公司和投资组合公司的信息。 “正在向所有受影响数据的个人邮寄正式通知信，包括提供免费的信用或身份监控服务。请注意，如果您在2025年9月底之前没有收到通知信，那么我们已确定您的个人数据未受到此次事件的影响。”该公司在随后的一份声明中表示。 尽管目前还没有勒索软件团伙声称对此负责，但Insight Partners在周一提交给加州总检察长的违规通知中透露，并首次被TechCrunch发现，威胁行为者在10月入侵了其网络，并在1月16日数据泄露后加密了服务器。 “Insight Partners对此次事件的调查确定，2024年10月25日左右，一名威胁行为者成功利用复杂的社交工程攻击获得了受影响服务器的访问权限，”该公司表示。 “一旦进入，威胁行为者开始从这些服务器中窃取数据，并从2025年1月16日东部时间上午10点左右开始加密这些服务器。” 本周在缅因州总检察长的一份文件中，该公司还披露，由此产生的数据泄露影响了12657人。 Insight Partners管理着超过900亿美元的受监管资产，并在其30年的历史中，投资了全球800多家软件和技术初创公司。 Insight Partners的一位发言人尚未对BleepingComputer就此次事件提出的多次评论请求做出回应。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与Akira勒索软件团伙有关的威胁行为者一直在针对SonicWall设备以获取初始访问权限。 网络安全公司Rapid7表示，在过去一个月中，观察到涉及SonicWall设备的入侵事件有所增加，特别是在2025年7月下旬有关Akira勒索软件活动重新出现的报道之后。 随后，SonicWall透露，针对其防火墙的SSL VPN活动涉及一个已存在一年的安全漏洞（CVE-2024-40766，CVSS评分：9.3），在迁移过程中，本地用户密码被保留且未被重置。 该公司指出：“我们观察到威胁行为者试图暴力破解用户凭据的活动有所增加。为了降低风险，客户应启用Botnet过滤功能以阻止已知的威胁行为者，并确保已启用账户锁定策略。” SonicWall还敦促用户审查LDAP SSL VPN默认用户组，如果在Akira勒索软件攻击的背景下配置错误，这将是一个“关键弱点”。 此设置会自动将每个成功通过LDAP身份验证的用户添加到预定义的本地组，无论他们是否实际属于Active Directory中的成员。如果该默认组可以访问敏感服务（如SSL VPN、管理界面或不受限制的网络区域），那么任何被入侵的AD账户，即使该账户并无合法理由需要这些服务，也会立即继承这些权限。 这实际上绕过了原本基于AD组的访问控制，一旦攻击者获得有效凭据，就会为他们直接进入网络边界提供一条路径。 Rapid7在其警报中表示，还观察到威胁行为者访问由SonicWall设备托管的虚拟办公门户，在某些默认配置下，这可能会促进公开访问，并使攻击者能够使用有效账户配置mMFA/TOTP，前提是此前存在凭据泄露的情况。 “Akira团伙可能正在利用这三种安全风险的组合来获取未经授权的访问权限并开展勒索软件行动。”该公司表示。 为了降低风险，建议组织机构更换所有SonicWall本地账户的密码，删除任何未使用或不活跃的SonicWall本地账户，确保已配置MFA/TOTP策略，并限制虚拟办公门户对内部网络的访问。 Akira针对SonicWall SSL VPN的目标也得到了澳大利亚网络安全中心（ACSC）的呼应，该中心承认，他们知道勒索软件团伙正通过这些设备攻击澳大利亚的易受攻击组织。 自2023年3月首次亮相以来，Akira一直是勒索软件威胁领域中持续存在的威胁，根据Ransomware.Live的信息，到目前为止，它已经声称有967名受害者。根据CYFIRMA分享的统计数据，在2025年7月，Akira共发动了40次攻击，使其成为继Qilin和INC Ransom之后的第三大活跃团伙。 在2025年第二季度影响全球工业实体的657次勒索软件攻击中，Qilin、Akira和Play勒索软件家族占据了前三名，分别报告了101起、79起和75起事件。 工业网络安全公司Dragos在上个月发布的一份报告中表示，Akira在“针对制造业和运输行业的持续攻击中保持了相当大的活动量，通过复杂的网络钓鱼和多平台勒索软件部署来实现”。 最近的Akira勒索软件感染还利用搜索引擎优化（SEO）中毒技术来分发流行IT管理工具的特洛伊木马化安装程序，这些安装程序随后被用来投放Bumblebee恶意软件加载器。 然后，这些攻击利用Bumblebee作为通道来分发AdaptixC2后利用和对抗性仿真框架、安装RustDesk以实现持久远程访问、窃取数据并部署勒索软件。 根据Palo Alto Networks Unit 42的说法，AdaptixC2的多功能性和模块化特性允许威胁行为者在受感染的系统上执行命令、传输文件并进行数据窃取。由于它也是开源的，这意味着攻击者可以根据自己的需求对其进行定制。 该网络安全公司表示，其他传播AdaptixC2的活动还利用模仿IT帮助台的Microsoft Teams通话来欺骗毫无戒心的用户，通过快速协助授予他们远程访问权限，并投放一个PowerShell脚本，该脚本解密并加载到内存中的shellcode有效载荷。 “Akira勒索软件团伙遵循标准的攻击流程：通过SSLVPN组件获得初始访问权限，提升到具有更高权限的账户或服务账户，从网络共享或文件服务器中定位并窃取敏感文件，删除或停止备份，并在虚拟化层部署勒索软件加密。”Rapid7表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： KillSec 勒索软件声称对巴西医疗软件解决方案提供商 MedicSolution 发起了网络攻击负责。 KillSec 勒索软件团伙威胁称，除非迅速启动谈判，否则将泄露敏感数据。根据 Resecurity 提供的威胁情报报告，此次事件的根源是数据从不安全的 AWS S3 存储桶中被泄露。考虑到网络安全专家进行的调查，数据暴露的时间窗口可以估计为“数月之久”。这可能是巴西医疗行业首次出现的显著的供应链事件。 值得注意的是，这并非勒索软件团伙首次针对巴西发起攻击。此前，该团伙曾泄露了包含巴西政府资源中的 CNPJ/CPF 身份标识符、交易金额、银行信息以及其他数据的个人和商业信息。当时，该团伙并未澄清此次入侵的完整范围或可能的来源。KillSec 勒索软件既以确认的事件而闻名，也以虚假或猜测性的事件而知名。 不幸的是，这一次 KillSec 勒索软件对巴西造成了沉重打击。被盗的医疗数据包含敏感的实验室结果报告、医疗评估以及其他隐私敏感信息。Resecurity 识别出数名患者并与他们取得了联系——截至今日，他们均未意识到此次事件。网络犯罪分子利用从医疗机构窃取的数据进行敲诈，他们深知这不仅会给受害组织带来重大损失，也会给其终端客户造成严重影响，因为许多患者并不期望他们的信息会被发布到网上。 被盗数据的总量超过 34 GB，包含超过 94818 个文件。被泄露的数据包括： – 医疗评估 – 医疗实验室结果 – X 光 – 未经过处理的患者照片，包括显示身体部位的照片 – 与未成年人相关的记录 值得注意的是，KillSec 勒索软件团伙在针对巴西发起攻击的几天前，也曾针对哥伦比亚、秘鲁和美国的医疗机构发起攻击。这种攻击时间的选择表明网络犯罪分子对医疗领域越来越感兴趣。 就在两天前，该团伙宣布成功入侵了几家知名的医疗机构： – Archer Health（美国） – Suiza Lab（秘鲁） – GoTelemedicina（哥伦比亚） – eMedicoERP（哥伦比亚） 一个月前，该团伙泄露了秘鲁一家知名医疗软件平台 Doctocliq 的数据，该平台为 20 多个国家的 3500 多名医生提供服务。在过去，该团伙也曾针对沙特皇家空军（RSAF）发起攻击，并从医疗领域之外的行业泄露了几起新的数据，包括阿联酋的 Nathan and Nathan（人力资源、招聘和技术解决方案提供商）以及美国的 Ava Senior Connect（专为老年人社区设计的通信平台）。 根据 Resecurity 的分析，KillSec 勒索软件已经找到了针对医疗机构的“甜点”。医疗机构存储着大量的敏感且有价值的数据，包括个人身份信息、病史、保险详情以及支付信息。 巴西医疗行业的数据泄露诉讼和执法环境主要由《巴西通用数据保护法》（LGPD）塑造，该法于 2020 年全面生效。LGPD 适用于巴西境内所有处理个人数据的组织，医疗数据被归类为“敏感个人数据”，受到更严格的保护和更严格的数据处理要求。数据保护执法的主要监管机构是巴西国家数据保护局（ANPD），该机构负责监督 LGPD 合规性、调查数据泄露事件并处以罚款。 在 2024 年医疗行业审计中，由于缺乏加密和数据泄露响应计划，ANPD 对 15 家医疗机构处以总计 1200 万雷亚尔（约合 240 万美元）的罚款。其他纠正措施包括强制性渗透测试和员工培训。自 2023 年以来，ANPD 在所有行业中处以的罚款总额已超过 9800 万雷亚尔（约合 2000 万美元），其中医疗行业因重复出现漏洞和全行业审计而占据了相当大的一部分。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部已对乌克兰国民沃洛迪米尔·维克托罗维奇·季莫申丘克（Volodymyr Viktorovich Tymoshchuk）提起诉讼，指控其担任LockerGoga、MegaCortex和Nefilim勒索软件行动的管理员。 季莫申丘克也被称为deadforz、Boba、msfv和farnetwork，他参与了勒索软件攻击，导致数百家公司被入侵，造成数百万美元的损失，根据今天解封的起诉书补充说明。 从2019年7月到2020年6月，季莫申丘克及其同伙被指控在美国和世界各地的250多家公司网络中发动LockerGoga和MegaCortex勒索软件攻击。 然而，在许多事件中，由于执法部门的早期警告，他们未能在受害者网络上部署勒索软件。 从2020年7月到2021年10月，季莫申丘克被指控担任Nefilim勒索软件行动的管理员，他为附属机构提供访问权限，包括共同被告阿尔捷姆·亚历山德罗维奇·斯特里扎克（Artem Aleksandrovych Stryzhak），后者于2025年4月从西班牙被引渡，以换取勒索赎金的20%。 2023年11月，网络安全公司Group-IB还将季莫申丘克与JSWORM、Karma、Nokoyawa和Nemty勒索软件团伙联系起来，自2019年4月以来，他帮助他们在多个俄语黑客论坛上招募附属机构。 “季莫申丘克是一名惯犯，他针对美国蓝筹公司、医疗机构和大型外国工业企业，并威胁说如果他们拒绝支付赎金，就将泄露他们的敏感数据。”美国检察官小约瑟夫·诺切拉（Joseph Nocella Jr.）说。 “在某些情况下，这些攻击导致业务运营完全中断，直到加密数据能够被恢复或恢复。”代理助理总检察长马修·R·加莱奥蒂（Matthew R. Galeotti）补充说。 2022年9月，作为针对这些网络犯罪团伙的全球努力的一部分，通过“不再勒索软件项目”（No More Ransomware Project）倡议发布了针对LockerGoga和MegaCortex勒索软件的免费解密器，以帮助受害者在不支付赎金的情况下恢复加密文件。 季莫申丘克面临两项计算机欺诈共谋罪名、三项破坏受保护计算机罪名，以及未经授权访问和威胁泄露机密信息的罪名。 美国国务院打击跨国组织犯罪（TOC）奖励计划还提供高达1100万美元的奖励，以获取任何可能导致季莫申丘克或其同伙被定位、逮捕或定罪的信息。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 捷豹路虎（JLR）正在调查一个与“Scattered Spider”（散裂蜘蛛）组织有关的黑客联盟所声称的、对这家汽车制造巨头的攻击负责的说法。 该英语网络犯罪组织据信应对今年早些时候针对英国零售商玛莎百货（M&S）、Co-op 和哈罗德（Harrods）的网络攻击负责。 英国广播公司（BBC）报道了这一声称，该报道基于与一位自称是该集团发言人的个体的私人短信对话。该集团自称为“Scattered LapsusHunters”，暗示了ScatteredSpider、ShinyHunters和Lapsus之间可能存在合作。 BBC称，该集团声称已访问了捷豹路虎的系统，并试图向该公司勒索钱财。 目前尚未确认是否有数据被窃，或Scattered Lapsus$ Hunters是否安装了勒索软件。 然而，该集团在即时通讯应用Telegram上分享了声称截取自捷豹路虎IT网络内部的截图。这些未经核实的图像包括用于排查汽车充电问题的内部指令和内部计算机日志。 捷豹路虎的一位发言人在回应置评请求时表示：“我们知悉与近期网络事件相关的声称，我们正在持续积极调查。” 捷豹路虎于9月2日首次确认遭受网络事件，称在汽车制造商主动关闭系统以减轻事件影响后，其销售和生产运营受到严重干扰。 由于网络事件造成的干扰，在英国默西塞德郡哈利伍德（Halewood）生产工厂工作的员工被告知9月2日星期二不要上班。 截至撰写本文时，捷豹路虎尚未提供有关运营影响的进一步细节。然而，当地新闻媒体《利物浦回声报》在9月4日报道称，捷豹路虎员工仍未返回默西塞德郡工厂。 Scattered Spider 寻求关注其活动 NetSPI EMEA服务总监Sam Kirkman表示，该集团与BBC的互动显示了其希望引起外界对其活动关注的渴望，这是其在4月份攻击玛莎百货后也采用过的策略。 他指出：“该集团努力吸引人们关注其活动，这表明除了对目标进行财务勒索外，运营中断和声誉影响也是其目标。” Kirkman继续表示：“需要注意的是，截图无法核实，可能是为了给该集团吸引更多关注而伪造的。” ESET全球网络安全顾问Jake Moore指出，像Scattered Spider这样的黑客组织正变得越来越大胆，热衷于炫耀他们的“成功”。 他评论道：“通过使用Telegram来炫耀他们的声称和勒索要求，这显示了其肆无忌惮的自信，认为可以保持不被发现，这简直是在受害者的伤口上撒盐。” 明显的跨集团合并令人担忧 Acumen Cyber的首席顾问Nathan Webb认为，Scattered Spider与ShinyHunters和Lapsus$的明显合作可能会对该集团的能力产生重大影响。 这三个集团都以使用社会工程学技术进入目标而闻名，之后使用勒索和数据窃取等策略获取经济利益。 最近，Scattered Spider和ShinyHunters使用了语音钓鱼（vishing）技术来获取第三方IT提供商的高价值凭证。这包括ShinyHunters被报道的入侵Salesforce客户凭证事件，影响了包括谷歌、香奈儿和阿迪达斯在内的公司。 Webb评论说：“这些威胁行为者显然已经联合起来，以提高建立初始访问受害者系统的有效性，该集团在技术和可用数据上进行合作以增强其攻击。” 他补充道：“威胁行为者集团之间为实施犯罪而日益增长的合作，强调了他们现在多么像企业一样运作，并强化了加强防御的必要性。” 与Scattered Spider一样，ShinyHunters和Lapsus$也由讲英语的行为者组成。 Scattered Spider和ShinyHunters与“The Com”有关，这是一个松散组织的在线犯罪网络，涉及数千名讲英语的个人。 据信这些集团包含年轻的，通常是青少年黑客。 2023年8月，英国法院认定一名牛津青少年对涉及知名品牌的一系列黑客事件负责，其是臭名昭著的Lapsus$集团的一部分。 2025年7月，英国执法部门逮捕了三名青少年和一名20岁男子，怀疑他们参与了4月份针对玛莎百货、Co-op和哈罗德的网络攻击。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室（OAG）已确认遭遇勒索软件攻击，导致民事和刑事案件审理延误。 该州总检察长戴夫·森迪（Dave Sunday）证实，此次事件已于8月初导致总检察长办公室的服务器下线。森迪在8月29日发布的最新通报中透露：“此次中断由外部人员通过加密文件，迫使OAG支付赎金以恢复运营所致。目前尚未支付任何赎金。” 对于此次攻击中是否存在数据被盗的可能性，总检察长办公室未给出任何说明。 森迪接着表示：“目前正与其他机构开展联合调查，这使得我们无法就调查进展或事件应对措施进一步置评。”他补充道：“我们一直在向公众定期通报事件最新情况，并将继续这样做。若调查显示有必要，这些通报将包括向相关个人发送通知。” 美国宾夕法尼亚州总检察长办公室是该州最高执法机构，职责包括提起刑事诉讼和执行消费者保护法。 事件导致刑事与民事案件审理延误 受本次技术故障影响，宾夕法尼亚州多家法院被迫发布命令，延长刑事案件和民事案件的审理期限。 森迪指出：“不过，根据目前调查所掌握的情况，我们预计不会出现仅因外部干扰就导致刑事起诉、调查或民事诉讼受到负面影响的情况。” 这起网络事件于8月18日首次披露，当时总检察长办公室的网站陷入下线状态，办公邮箱账户及固定电话线路也无法使用。 最新通报证实，目前大多数总检察长办公室工作人员已恢复邮箱访问权限，并正通过邮箱与选民及利益相关者沟通。此外，办公室主电话线和官方网站均已恢复上线。 恢复全部功能的工作仍在进行中，同时总检察长办公室正与其他机构合作，“以避免类似情况再次发生”。 森迪表示：“总体而言，总检察长办公室的约1200名工作人员（分布在全州17个办公地点）仍在开展日常工作，尽管部分工作需通过替代渠道和方式完成。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙正在调整策略，窃取存储在云中的数据并锁定公司自有系统。 微软周三发布警告，称其近期发现一个自2021年以来一直发动勒索软件攻击的威胁行为者参与的活动。据这家科技公司称，该威胁行为者能够快速泄露大量数据，同时销毁备份并索要赎金。事件响应人员表示：“虽然该威胁行为者已知针对混合云环境，但他们的主要目标已从部署本地端点勒索软件转向使用基于云的勒索软件策略。” 尽管勒索软件团伙传统上依靠部署恶意软件来加密文件，但该威胁行为者近期的策略表明，他们在攻击过程中不再需要这样做。 微软将该黑客称为Storm-0501，其最初在2021年针对美国学区的攻击中使用了Sabbath勒索软件，此后在针对医疗保健领域时持续使用多种勒索软件变种。在2024年的攻击中，其最近使用了Embargo勒索软件。 随着云系统采用率的提高，该黑客改变了方法，开始瞄准能提供全局管理员权限的账户信息。 在微软追踪的最近一次活动中，该黑客成功访问了一个由多家安全成熟度不一的子公司组成的匿名“大型企业”。该黑客检查了哪些子公司和办公室未启用微软安全工具，试图在横向移动网络之前避免被检测到。经过多次移动，他们找到了一个未启用多因素认证的账户，从而能够重置该账户的密码并注册自己的MFA方法。 一旦获得公司云网络的完全访问权限，他们便创建了一个后门，使其能够以几乎任何用户身份登录。他们使用多种工具来定位组织的关键资产，然后窃取大量敏感数据并销毁信息。 该黑客还花时间删除了备份，然后索要赎金。 微软表示：“完成数据泄露阶段后，Storm-0501开始大规模删除包含受害组织数据的Azure资源，通过恢复数据阻止受害者采取补救和缓解措施。”“在该威胁行为者尝试大规模删除数据存储/托管资源的过程中，由于环境中现有的保护措施，他们遇到错误并未能删除部分资源。” 对于无法删除的数据，该黑客尝试使用基于云的加密方式来锁定公司自有数据。由于在该威胁行为者删除密钥后，公司得以恢复密钥来解锁数据，此举未能成功。 微软称，在完成所有这一切后，该黑客通过Microsoft Teams联系了受害公司，“使用先前被入侵的一个用户，要求支付赎金”。 多家安全公司警告，过去使用勒索软件的精密黑客现已转向针对公司存储在云中的数据。过去一年中，已发生多起涉及从Snowflake和Salesforce等存储巨头窃取数据的高调活动。 谷歌周一表示，发现一项活动中黑客利用第三方服务窃取Salesforce数据——其主要目标似乎是窃取登录凭证，这可能“允许他们进一步危害受害者和客户环境，并转向受害者的客户或合作伙伴环境”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文